“黑雾”僵尸网络谱写连环感染三部曲，360安全大脑强力查杀！

2019-05-08 21:29:44
我要分享


微信扫码分享

近期，360安全大脑监测到一个名为“钱蜜省钱助手”的流氓软件会在用户后台下发一款集流量劫持，盗号，暗刷，QQ引流等多种功能于一体的病毒，并已逐步扩张成僵尸网络。通过360安全大脑对该僵尸网络的关联样本分析，我们发现其早在2016年七月份就已经开始传播，且一直保持着相对活跃的态势，基于其攻击特点，我们将该僵尸网络命名为“黑雾”。

“黑雾”僵尸网络的感染流程异常复杂，为便于梳理各个病毒模块之间的关系，我们将其感染攻击过程分为如下三个阶段：

通过流氓软件下发劫持浏览器篡改主页

首先，“黑雾”僵尸网络会通过“钱蜜省钱助手”下发，该流氓软件的官方下载界面如下：

从官网下载的安装包携带“ShanghaiQi Lu Network Technology Co., Ltd.”数字签名：

软件安装完成后，会将QmSaveMoneySvc.exe注册为系统服务，QmSaveMoneySvc会以“/from=qm_azb”为参数启动“钱蜜省钱助手”的主程序qm.exe，相关代码如下：

该主程序qm.exe携带恶意代码，当用上文提到的命令行启动时，病毒逻辑会被调用，相关代码逻辑，如下图所示：

首先从http[:]//down.qm188.com/updatecfg2.ini下载云控配置，根据配置flag5中的index值，下载不同的病毒模块：

下载的病毒模块均经过7z格式压缩后二次加密传输，下载后经过下面的逻辑进行解密，解压缩，最后加载病毒模块demo.dll，病毒模块导出函数均为plugin_lock。加载模块逻辑如下：

demo.dll会通过http[:]//down.qm188.com/check.7z下载lock.dll，解密逻辑与上面相同。Lock.dll提供了166个导出函数，包括浏览器书签篡改，主页锁定，添加插件等功能。demo.dll调用这些导出函数对用户安装的浏览器进行劫持，部分代码逻辑如下图所示（限于文章篇幅，只截取锁定首页部分）：

进阶感染加大力度 QQ引流Steam盗号双管齐下

除了第一阶段中的劫持逻辑外，demo.dll还会下载MyThirdDemo.exe到%Appdata%\Roaming目录下进行执行，开始第二阶段的感染：

MyThirdDemo.exe会释放TestDemo.exe并将其注册为系统服务，实现病毒的驻留。TestDemo.exe也是个下载者木马，根据http[:]//down.qm188.com/demo/test.ini返回的配置信息下载对应的病毒模块，在分析时下载的是ServiceDemo.exe模块。ServiceDemo.exe获取testconfig.ini配置文件，下载并执行其中的推广软件和病毒模块。testconfig.ini内容如下：

其中kplnk4标签中的todayhot.exe与MyThirdDemo.exe逻辑相似，而kplnk6标签对应的666.exe则会释放出6667.exe和x7777.exe。6667.exe用来引导开始第三阶段的病毒感染流程，x7777.exe则会释放出QQ引流和盗取steam帐号的病毒模块并执行。

如图所示，111.exe会盗取用户的steam帐号密码和ssfn授权文件，利用wireshark进行抓包，上传相关隐私数据到C&C服务器。

上传Steam帐号密码

上传ssfn授权文件

劫持流量暗刷视频花样作妖不停歇

6667.exe 下载执行djwh01.exe开启第三阶段的感染，djwh01.exe下载ovb.zip并校验其校验和，然后将后续的病毒模块解压到内存中。利用抓包工具监控病毒下载ovb.zip及其校验和：

djwh01.exe将ovb.zip中的病毒模块解压到共享内存中，根据run.xml中的配置信息，启动主控进程main.exe。主控进程会释放loader.dll，并通过DLL注入的方式将loader.dll注入到explorer.exe进程中,执行后加载下面的病毒插件。ovb.zip压缩文件及run.xml的内容如下：